IT-Security

Gefahrenfaktor Mensch wird vernachlässigt

Dr. Klaus Manhart hat an der LMU München Logik/Wissenschaftstheorie studiert. Seit 1999 ist er freier Fachautor für IT und Wissenschaft und seit 2005 Lehrbeauftragter an der Uni München für Computersimulation. Schwerpunkte im Bereich IT-Journalismus sind Internet, Business-Computing, Linux und Mobilanwendungen.
Web-Attacken, Datenklau und Betriebsspionage boomen gerade in Krisenzeiten. Allein auf Security-Technik zu setzen, genügt heute nicht mehr. Auf der Sicherheitskonferenz DeepSec forderten Experten Unternehmens-Strukturen, die menschliche Schwächen und die Motive der Angreifer berücksichtigen.
"Statische Schutzmechanismen sind heute gegen dynamische Bedrohungen nicht mehr ausreichend", sagt Snort-Erfinder und Sourcefire-CTO Martin Rösch.
"Statische Schutzmechanismen sind heute gegen dynamische Bedrohungen nicht mehr ausreichend", sagt Snort-Erfinder und Sourcefire-CTO Martin Rösch.

Ein Gegensteuern gegen viele Spionageangriffe wäre an sich einfach - so eine wichtige Erkenntnis der dritten internationalen Sicherheitskonferenz DeepSec, die im November in Wien stattfand. Viele Sicherheitslücken in Software-Applikationen könnten etwa durch gute Qualitätssicherung schon während der Entwicklung abgefangen werden. Das betrifft speziell Web-Applikationen, die immer noch vielen Angreifern Tür und Tor öffnen. Saumil Shah, CEO von Net-Square, illustrierte Attacken auf Web-Applikationen. Dateiformate wie PDF oder Office-Dokumente - gepaart mit gängigen Browsern - genügen Angreifern oft schon, um einen sprichwörtlichen "Fuß in die Tür" zu bekommen. Die Verteidigung muss daher am eigenen Rechner und am eigenen Server gleichzeitig beginnen.

Menschlicher Faktor

Matt Watchinski von Sourcefire erläuterte in seiner Keynote einen wichtigen Baustein zur Absicherung der Infrastruktur. Es komme nicht alleine auf die technologischen Kapazitäten an. Sicherheit erfordere die Überarbeitung unseres Denkens. Viele Unternehmen hätten etwa keine ausreichenden Strukturen, wären zu technologiegläubig, setzten ihre Mitarbeiter falsch ein oder hätten nicht die notwendigen Fähigkeiten, um mit den heutigen Angreifern mitzuhalten. Man müsse sich in seine Gegenspieler hineinversetzen können und dürfe nicht reaktiv darauf warten, dass Sicherheitsprobleme auftreten.

Speziell der Faktor Mensch wird beim Thema Sicherheit stark vernachlässigt. Jeder neue Mitarbeiter bekommt zwar eine Einführung in die wichtigste Software am Arbeitsplatz, eine Aufklärung über Social Engineering und die im Unternehmen üblichen Verfahrensweisen zur Abwehr fehlen meist komplett. Sharon Conheady und Martin Law von First Defence Information Security haben in ihrem zweitägigen Workshop die Gefahren erklärt und Gegenmaßnahmen erarbeitet.

Inhalt dieses Artikels